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WEIMANNJurgen: Risiken und Sicherheitspoten- 




tiale der Chipkarte. In: CR 12,1988, S.1037-1041 ; 



@ Verfahren und Vorrichtung zum Laden von Inputdaten in einen Algorithmus bei der Authentikation 

(§7) Die Probiematik der Datensicherheit beim Zahlungsver- 
kehr mit Hilfe von Chipkarten liegt in den Vorgangen beim 
Laden von Inputdaten in einen Algorithmus bei der Authenti- 
kation begrundet. 

Mit Hilfe einer Aufteilung der Datenblocke und der Ein- und 
Ausschaitung einer zusatzlichen Ruckkopplung nach den 
nachgeschalteten Zahlern zu vorgewahlten Zeiten (Takten) 
wird die Sicherhett der Ab- und Aufbuchungs-Daten verbes- 
sert. 

Die Anwendung der Erfindung ist bei alien Authentikations- 
vorgangen in Verbindung mit Chipkarten mdglich. 
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Beschreibung 

Die Erfmdung bezieht sich auf ein Verfahren, wie im 
Oberbegriff des Patentanspruch 1 naher beschrieben 
und auf eine Vorrichtung der im Oberbegriff des Patent- 
anspruch 9 definierten Art Verschiedene bekannte Ver- 
fahren dieser Art werden fur Chipkarten mit Borsen- 
funktion in mehreren Varianten verwendet und bei den 
Vorrichtungen kann u. a. von Chipschaltungen entspre- 
chend EP 0 616 429 Al ausgegangen werden. 

Verfahren der hier gemeinten Art sind z. B. aus ETSI 
D/EN/TE090114, Terminal Equipment (TE) Require- 
ments for IC cards and terminals for telecommunication 
use, Part 4 — Payment methods Version 4 v. 07. Febr. 
1992 und aus der Europaischen Patentanmeldung 0 605 
070 bekannt 

Neben Telefonkarten mit definiertem Anfangsgutha- 
ben als Zahlungsmittel fur Kartenteiefone sind auch 
"elektronische Geldborsen" nach dem gleichen Prinzip 
als Zahlungsmittel fur begrenzte Betrage von zuneh- 
mender Bedeutung. Fur den Anwendungsfall "Bezahlen 
mit der Chipkarte" ist ein entsprechendes Kartenleser- 
modul mit einem Sicherheitsmodul SM zur Karten- und 
Guthabenprufung in den Automaten gekoppelt. 

Aus der EP 0 605 070 A2 ist auch ein Verfahren zum 
Transferieren von Buchgeldbetragen auf und von Chip- 
karten bekannt, bei dem uberschreibbare Speicherpiat- 
ze einer Chipkarte aufgeteilt werden in wenigstens zwei 
Speicherplatze, von denen einer als "debitorisch", also 
"elektronische Geldborse" genutzt wird, so wie die Tele- 
fonkarten, und der andere "kreditorisch" im Sinne einer 
Kreditkarte. Unter den fur Kreditkarten ublichen gesi- 
cherten Bedingungen ist es vorgesehen, Geldbetrage 
zwischen den Bereichen zu transferieren, um die "elek- 
tronische Geldborse" wieder aufzufullen. 

Zur Vermeidung sowohl der Gefahren unbefugter 
Zugriffe auf die Kassenautomaten und deren fest im 
Gerat integrierte Sicherheitsmodule, als auch der Not- 
wendigkeit von besonders geschutzten und deshalb fur 
den Betreiber teuren Standleitungen wurde mit 
(P951 14) ein Verfahren vorgeschlagen, bei dem vom Be- 
treiber des Kassenautomaten vor den Kassiervorhan- 
gen ein Sicherheitsmodul mit Chipkartenfunktionen in 
die Kassenautomaten eingesteckt wird und bei jedem 
Kassiervorgang, bei dem ein Kartennutzer seine Chip- 
karte mit Borsenfunktion in einen Kassenautomaten 
eingesteckt hat, zuerst Datenbereiche der Chipkarte fur 
eine Plausibilitatskontrolle und die Priifung des Rest- 
guthabens ausgelesen, danach eine Authentication mit 
dem Sicherheitsmodul und eine ein-/mehrmalige Ak- 
zeptanzentscheidung durchgefuhrt werden und bei dem 
zuletzt der fallige bzw. eingegebene Geldbetrag aus der 
Chipkarte des Kartennutzers mit Hilfe einer Sicher- 
heitsfunktion ab- und einem Summenzahler fur Geldbe- 
trage im Sicherheitsmodul aufgebucht werden und bei 
dem nach den Kassiervorgangen der Zahlerstand des 
Sicherheitsmoduls mit Chipkartenfunktionen an eine 
Abrechnungszentrale iibergeben wird. 

Aufgabe der Erfindung ist es, die Sicherheit der Kas- 
senautomaten fur die "elektronischen Geldbdrsen" ge- 
genuber Manipulationen und Fehlfunktionen noch wei- 
ter zu erhohen. 

Diese Aufgabe lost ein Verfahren entsprechend dem 
Kennzeichen des Patentanspruchs 1. 

Vorteilhafte Aus- bzw. Weiterbildungsmoglichkeiten 
dieses Verfahrens sind in den Kennzeichen der Unteran- 
spruche 2 bis 8 aufgefuhrt 

Im Kennzeichen des Patentanspruchs 9 ist eine fur die 
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Anwendung des erwahnten Verfahrens geeignete Vor- 
richtung beschrieben. 

Die Kennzeichen der Unteranspriiche 10 bis 14 nen- 
nen vorteilhafte Aus- bzw. Weiterbildungsmoglichkei- 
5 ten dieser Vorrichtungen ftir verschiedene Anwendun- 
gen 

Die Erfindung ist mit ihren Wirkungen, Vorteilen und 
Anwendungsmoglichkeiten in den nachfolgenden Aus- 
fuhrungsbeispielen naher beschrieben. 
io Authentikationsalgorithmen werden i. A. zur sicheren 
Identifizierung verwendet In Authentikationsverfahren 
gehen, neben der Identitat von Chipkarten und Perso- 
nen sowie evtL eines Sicherheitsmoduls SM, oft noch 
weitere Daten ein, deren Korrektheit zusatzlich gesi- 

15 chert werden soli. Ein Authentikationsverfahren kann 
zum Beispiei auch auf nicht geheime Kartendaten D 
zusammen mit einem geheimen Schliissel K und einer 
Zufallszahl Z angewendet werden. Bei den Chipkarten 
mit Borsenfunktion wird fur die Ab- und Aufbuchungen 

20 sicherheitshalber je eine getrennte Sicherheitsfunktion 
verwendet, die jeweils mit einer kryptografischen Pruf- 
summe ausgelesen wird. 

Mit dem Verfahren nach der Erfindung konnen die 
Ab- und Aufbuchungen mit einem kryptografischen To- 

25 ken durchgefuhrt werden, wobei vorausgesetzt wird, 
daB die Authentikation und die kryptografische Priif- 
summe uber den Zahlerstand mit einem Challenge/Re- 
sponse- Verfahren durchgefuhrt werden. Dann kann 
durch ein einzelnes Challenge/Response-Verfahren, bei 

30 dem nur eine Zufallszahl von dem Sicherheitsmodul SM 
geliefert wird und von der Chipkarte nur eine Response 
berechnet wird, sowohl die Identitat (Authentikation) 
als auch der interne Zahlerstand gegenuber dem Sicher- 
heitsmodul SM bewiesen werden. 

35 Dies kann dadurch erreicht werden, daB die variablen 
Inputdaten, wie der Zahlerstand und die Zufallszahl, in- 
tern jeweils zunachst mit "keyed Hashfunctions" = 
MAC Funktionen bearbeitet werden. Dabei wird als 
Schliissel der kartenindividueile geheime Schliissel der 

40 Chipkarte verwendet Die beiden aus Zahlerstand und 
Zufallszahl gewonnenen Token konnen dann in — mog- 
iicherweise kryptografisch unsicherer Art — z. B. durch 
XOR oder ein linear riickgekoppeltes Schieberegister 
miteinander verknupft werden und hiernach mit einer 

45 kryptografischen Funktion ausreichender Starke inte- 
gritatsgeschiitzt ausgegeben werden. 

Diese Verfahrensweise ist fur die Praxis dadurch in- 
teressant, daB die nur intern verwendeten keyed 
Hashfunctions keinen besonders hohen Anspriichen 

50 hinsichtlich ihrer Sicherheit geniigen mussen und relativ 
einf ache Funktionen anwendbar sind, weil die Ergebnis- 
se dieser Funktionen nicht aus der Chipkarte nach au- 
Ben gefuhrt werden. Dennoch werden damit Datenma- 
nipulationen wirksam verhindert. 

55 Das Ausfiihmngsbeispiel der Erfindung geht von ei- 
nem linear riickgekoppelten Schieberegister LFSR mit 
zusatzlicher nichtlinearer Funktion und nachgeschalte- 
ten Zahlern aus: 

60 0. Zusatzliche Ruckkopplungen nach den nachge- 
schalteten Zahlern in das linear nickgekoppelte 
Schieberegister LFSR werden geschaitet 
1. Es werden Inputdaten, bestehend aus den nicht 
geheimen Kartendaten D und dem geheimen 

65 Schliissel K, in das linear riickgekoppelten Schiebe- 
register LFSR eingelesen, wahrend sowohl die 
Riickkopplung des linear riickgekoppelten Schie- 
beregisters LFSR, als auch die zusatzliche(n) Riick- 
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kopplung(en) aktiv sind. 

2. Es wird eine gewisse Anzahl von Takten weiter- 
geschahet, ohne daB zusatzliche Inputdaten einge- 
lesen werden. 

3. Es werden Inputdaten, bestehend aus der Zufalls- 5 
zahl R, eingelesen, wahrend sowohl die Ruckkopp- 
lung des LFSR, als auch die zusatzliche Riickkopp- 
lung(en) aktiv sind 

4. Es werden die zusatzlichen Ruckkopplungen aus- 
geschaltet und ggf. die Zahler geandert 10 

5. Es wird eine gewisse Anzahl von Takten weiter- 
geschaltet und wahrend dieser Takte gemaB der 
aktuellen Zahlerstande Outputbits erzeugt 

Patentanspriiche 15 

1. Verfahren zum Laden von Inputdaten in einen 
Aigorithmus bei der Authentikation zwischen 
Chipkarten mit Borsenfunktion und einem Sicher- 
heitsmodul, bei dem der Kartennutzer uber ein ge- 20 
speichertes Guthaben verfiigen kann und bei dem 
bei jedem Kassiervorgang der erforderiiche, bzw. 
der vom Kartennutzer eingegebene Geldbetrag 
aus der Chipkarte des Kartennutzers mit Hilfe ei- 
ner Sicherheitsfunktion abgebucht und die Geldbe- 25 
trage in einem Summenzahler fur Geldbetrage des . 
Sicherheitsmoduls aufaddiert und gespeichert wer- 
den, und bei dem fur den Authentikationsalgorith- 
mus ein linear ruckgekoppeltes Schieberegister 
verwendet wird, dessen nichtlineare Funktionen in 30 
Verbindung mit nachgeschalteten Zahiern krypto- 
grafisch verstarkt wird, und bei dem Inputdaten, 
wie z. B. eine Zufallszahl, ein geheimer Schlussel 
und nicht geheime Kartendaten, in diesen Aigorith- 
mus eingehen, dadurch gekennzeichnet, daB die 35 
Inputdaten in mehrere Blocke von Daten aufgeteilt 
werden und daB wahrend des Ladens der Blocke in 
das linear ruckgekoppelte Schieberegister eine zu- 
satzliche weitere Riickkopplung nach den nachge- 
schalteten Zahler in das Schieberegister eingefiihrt 40 
und nach einer vorgegebenen Anzahl von Takt- 
schritten abgeschaltet wird. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB die Kartendaten D mit einem gehei- 
men Schiiissel K als ein erster Block und eine Zu- 45 
fallszahl R als ein weiterer Block eingefiihrt wer- 
den. 

3. Verfahren nach Anspruch 1 und 2, dadurch ge- 
kennzeichnet, daB wahrend der Ladephase der In- 
putdaten andere Zahlerstande eingesetzt werden, 50 
als bei der darauffolgenden Phase nach Einladen 
der Inputdaten zur Berechnung des Authentika- 
tionstokens. 

4. Verfahren nach Anspruch 1 und 2, dadurch ge- 
kennzeichnet, daB der erste nachgeschaltete Zahler 55 
auf 1 zahlt 

5. Verfahren nach Anspruch 1 und 2, dadurch ge- 
kennzeichnet, daB die Zahler und die Anzahl der 
auszufuhrenden Takte genau so gewahlt werden, 
daB das Authentikationstoken nach einer durch an- eo 
dere Systembedingungen fest vorgegebenen An- 
zahl von Takten errechnet wird. 

6. Verfahren nach einem der Anspruche 1 bis 5, 
dadurch gekennzeichnet, daB die Ausgabe von Bits 
nach Einladen aller Inputdaten beginnt 65 

7. Verfahren nach einem der Anspruche 1 bis 6, 
dadurch gekennzeichnet, daB zwischen dem Einla- 
den der Blocke aus Anspruch 1 unter Beibehaltung 



533 Al 




der zusatzlichen Riickkopplung die gesamte Schal- 
tung einige Schritte weiter getaktet wird, ohne daB 
Inputdaten geladen werden und bevor Bits ausge- 
geben werden. 

8. Verfahren nach einem der Anspruche 1 bis 6, 
dadurch gekennzeichnet, daB zwischen dem Einla- 
den der Blocke aus Anspruch 1 nach Abschalten 
der zusatzlichen Riickkopplung die gesamte Schal- 
tung eine bestimmte Anzahl von Schritten weiter 
getaktet wird, ohne daB Inputdaten geladen wer- 
den und bevor Bits ausgegeben werden. 

9. Vorrichtung zum Laden von Inputdaten in einen 
Aigorithmus bei der Authentikation unter Verwen- 
dung einer kryptografischen MAC Funktion, beste- 
hend aus einem linear riickgekoppelten Schiebere- 
gister mit einer nichtlinearen "Feed Forward" 
Funktion, die aus dem Schieberegister abgreift und 
iiber einen Zahler den Output des Schieberegisters 
beeinfluBt, dem ein weiterer Zahler nachgeschaltet 
ist, dadurch gekennzeichnet, daB die aus dem linear 
riickgekoppelten Schieberegister aufgebaute 
Schaltung mit nachgeschalteten Zahiern zur Ver- 
wendung fur den Authentikationsalgorithmus 
durch eine zusatzliche abschaltbare nichtlineare 
Riickkopplung kryptografisch verstarkt ist 

10. Vorrichtung nach Anspruch 9, dadurch gekenn- 
zeichnet, daB die zusatzliche Riickkopplung nach 
dem ersten nachgeschalteten Zahler vor dem Latch 
abgegriffenist 

11. Vorrichtung nach Anspruch 9, dadurch gekenn- 
zeichnet, daB die zusatzliche Riickkopplung aus 
dem Latch nach dem ersten nachgeschalteten Zah- 
ler abgegriffen ist 

12. Vorrichtung nach Anspruch 9, dadurch gekenn- 
zeichnet, daB die zusatzliche Riickkopplung nach 
dem zweiten nachgeschalteten Zahler abgegriffen 
ist 

13. Vorrichtung nach Anspruch 9, dadurch gekenn- 
zeichnet, daB die zusatzliche Riickkopplung als eine 
XOR-Summe der Abgriffe nach dem ersten nach- 
geschalteten Zahler vor dem Latch, aus dem Latch 
nach dem ersten nachgeschalteten Zahler und nach 
dem zweiten nachgeschalteten Zahler ausgebildet 
ist 

14. Vorrichtung nach Anspruch 9, dadurch gekenn- 
zeichnet, daB die Zahler aufgeteilt bzw. verkleinert 
sind. 
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